Khi bạn xóa một tập tin hay thư mục nào đó trong hệ thống, thực chất lệnh này chỉ đánh dấu "đã xóa" trong Directory Entry và những thông tin liên quan trong File Allocation Table - FAT (với phân vùng định dạng FAT/FAT32) hoặc đánh dấu "xoá” trong Master File Table - MFT Entry (với phân vùng định dạng NTFS). Lúc này, các vùng (cluster) chứa dữ liệu của tập tin xem như trống và được tính là dung lượng chưa dùng đến của đĩa cứng mặc dù dữ liệu vẫn tồn tại.
Khi dữ liệu mới được ghi vào, lúc này dữ liệu cũ mới thực sự bị xóa đi và ghi đè bằng dữ liệu mới. Chúng ta (và cả hệ điều hành) đều không thể "nhìn" thấy được những dữ liệu bị đánh dấu xóa nhưng những phần mềm cứu dữ liệu vẫn nhìn thấy chúng khi quét qua bề mặt đĩa. Vì vậy chúng ta mới cần đến những phần mềm này trong việc khôi phục dữ liệu.
Có rất nhiều phần mềm giúp bạn thực hiện việc này, từ miễn phí cho đến có phí như Ontrack Easy Recovery, Winternals Disk Commander, Active Uneraser, PC Inspector File Recovery, Drive Rescue... Mỗi phần mềm đều có những điểm mạnh - yếu riêng, nhưng nhìn chung, khả năng "cứu hộ" tùy thuộc rất nhiều vào cấu trúc dữ liệu trên đĩa cứng và những thao tác có ảnh hưởng đến các vùng dữ liệu.
CẤU TRÚC CỦA DỮ LIÊU TRÊN ĐĨA CỨNG
Trước tiên, chúng ta cùng tham khảo qua cách thức thông tin của một tập tin được lưu trữ trên đĩa cứng. Với phân vùng FAT, dữ liệu được lưu trữ tại 3 nơi trên đĩa cứng, bao gồm: Directory Entry chứa thông tin về tập tin gồm tên, dung lượng, thời gian tạo và số hiệu cluster đầu tiên chứa dữ liệu của tập tin; FAT chứa số hiệu các cluster được sử dụng cho tập tin và các cluster chứa dữ liệu của tập tin (vùng Allocation). Với phân vùng NTFS, dữ liệu được lưu trữ trong MFT (Master File Table) Entry và vùng Allocation (hình minh họa).
Bất kỳ phần mềm cứu dữ liệu nào cũng cố gắng tìm lại những thông tin từ 3 nơi này để có thể khôi phục đầy đủ nội dung của một tập tin, nếu thiếu (hoặc mất) một trong những thông tin này, dữ liệu không toàn vẹn hoặc không thể khôi phục (xem bảng).
Như vậy, xem xét các trường hợp trên thì khả năng khôi phục dữ liệu thường khá thấp. Trường hợp các cluster của Allocation bị hỏng hoặc bị chép đè, bạn hầu như không thể khôi phục được vì dữ liệu đã bị xóa và chép đè bởi dữ liệu mới. Về lý thuyết, bạn vẫn có thể lấy lại dữ liệu cũ với kỹ thuật MFM (Magnetic Force Microscope) tuy nhiên kỹ thuật này không được áp dụng rộng rãi trên thực tế vì mất nhiều thời gian và chi phí rất cao.
|
Allocation |
|
|
Directory Entry |
|
|
FAT |
|
|
|
|
|
ok |
|
|
ok |
|
|
ok |
|
|
Tập tin được khôi phục đầy đủ |
|
|
ok |
|
|
ok |
|
|
- |
|
|
Tập tin được khôi phục nhưng có thể nội dung không đầy đủ hoặc không thể đọc được. |
|
|
ok |
|
|
- |
|
|
ok |
|
|
Tập tin có thể được khôi phục nhưng không đầy đủ thông tin |
|
|
ok |
|
|
|
|
|
- |
|
|
|
|
- |
|
|
ok |
|
|
ok |
|
|
Không thể khôi phục dù vẫn có thể nhìn thấy tên của tập tin. |
|
|
- |
|
|
ok |
|
|
- |
|
|
|
|
- |
|
|
- |
|
|
ok |
|
|
Không thể khôi phục và không còn dấu vết của tập tin |
|
|
- |
|
|
- |
|
|
- |
|
|
|
|
Allocation
|
|
|
MFT |
|
|
|
|
|
ok |
|
|
ok |
|
|
Tập tin được khôi phục đầy đủ |
|
|
ok |
|
|
- |
|
|
Tập tin có thể được khôi phục nhưng không đầy đủ thông tin |
|
|
- |
|
|
ok |
|
|
Không thể khôi phục dù vẫn có thể nhìn thấy tên của tập tin. |
|
|
- |
|
|
- |
|
|
Không thể khôi phục và không còn dấu vết của tập tin |
|
KHẢ NĂNG KHÔI PHỤC DỮ LIỆU- Tập tin bị xóa: Như đã đề cập ở trên, việc xóa tập tin sẽ đánh dấu xóa trong Director Entry và những thông tin liên quan trong bảng FAT hoặc MFT Entry. Về lý thuyết, khả năng khôi phục đầy đủ tập tin này là cao. Tuy nhiên, kết quả thực tế đôi khi không được như mong đợi vì một số nguyên nhân: sau khi xóa, người dùng cố gắng thực hiện một số thao tác nhằm lấy lại dữ liệu, HĐH ghi đè dữ liệu mới vào các cluster được đánh dấu xóa...
- Phân vùng bị xóa (hoặc tạo lại) nhưng chưa định dạng (format): Hầu hết dữ liệu đều có thể khôi phục được trong trường hợp này vì FAT và MFT không bị ảnh hưởng khi người dùng xóa và tạo mới phân vùng.
- Phân vùng bị format: Với phân vùng FAT, việc định dạng sẽ xóa bảng FAT, Boot Record và thư mục gốc (Root Directory) nhưng Partition Table và dữ liệu trong Allocation vẫn còn. Những tập tin có dung lượng nhỏ hơn kích thước một cluster (32KB, mặc định của FAT32 hoặc theo tùy chọn của bạn khi định dạng), tập tin được khôi phục hoàn toàn vì chúng không cần đến thông tin trong bảng FAT. Với những tập tin có dung lượng lớn, nhiều cluster liên tiếp nhau, chúng sẽ bị phân mảnh khi có sự thay đổi nội dung theo thời gian. Việc tìm và ráp các cluster có liên quan với nhau là công việc khó khăn, nhất là với những tập tin có dung lượng lớn và hay thay đổi. Một số phần mềm cứu dữ liệu có khả năng khôi phục mà không cần thông tin từ bảng FAT. tuy nhiên, nội dung những tập tin sau khi tìm lại sẽ không đầy đủ hoặc không thể đọc được. Vì vậy, bạn sẽ cần đến một phần mềm có khả năng trích xuất những nội dung còn đọc được từ những tập tin này (chúng tôi sẽ đề cập đến vấn đề này trong bài viết khác khi điều kiện cho phép). Với phân vùng NTFS, việc định dạng sẽ tạo MFT mới, tuy nhiên kết quả khôi phục sẽ tốt hơn phân vùng FAT vì NTFS không sử dụng bảng FAT để xác định các cluster chứa dữ liệu của cùng tập tin.
- Phân vùng bị format và cài đè HĐH mới hoặc sử dụng Ghost: Trường hợp này thực sự là khó khăn vì Directory Entry (FAT), MFT (NTFS) đã bị xóa. Giả sử bạn có 10GB dữ liệu lưu trữ trên phân vùng 20GB, phân vùng này bị format và chép đè 5GB dữ liệu mới. Như vậy, bạn không thể khôi phục những dữ liệu đã bị chép đè mà chỉ có thể khôi phục dữ liệu từ 5GB trở về sau.
MỘT SỐ LƯU Ý Bạn có thể sử dụng bất cứ phần mềm nào trong "tầm với" của mình để cứu dữ liệu, tuy nhiên chúng tôi xin lưu ý một vài điểm sau.
- Một số phần mềm cho dùng thử và chỉ yêu cầu người dùng nhập số đăng ký (license key) khi sao lưu những dữ liệu cần khôi phục. Vì vậy, bạn hãy tận dụng điều này thử qua một vài phần mềm để tìm ra phần mềm thích hợp nhất với loại dữ liệu của mình cần khôi phục.
- Một số phần mềm cho phép tạo đĩa khởi động và làm việc trong chế độ MS-DOS. Tuy nhiên, bạn sẽ khó khăn hơn trong việc chọn lựa những dữ liệu cần khôi phục. Nếu có thể, hãy cài đặt phần mềm cứu dữ liệu trên một hệ thống khác và gắn ổ đĩa cần khôi phục vào khi đã sẵn sàng. Bạn sẽ dễ dàng làm việc hơn với những tập tin theo cấu trúc cây thư mục, xem qua nội dung những tập tin có thể khôi phục trước khi mua license key. Lưu ý: đừng lo lắng khi HĐH không nhận ra đĩa cứng cần khôi phục, phần mềm khôi phục sẽ làm việc này tốt hơn nếu trong BIOS Setup vẫn nhận dạng được ổ cứng này.
- Tránh những thao tác ghi dữ liệu lên đĩa cứng cần khôi phục. Sau khi xóa, vị trí những cluster của tập tin không được bảo vệ, sẵn sàng cho việc ghi đè dữ liệu mới. Cả khi người dùng không tạo ra những tập tin mới, hoạt động của HĐH cũng ảnh hưởng đến dữ liệu đã xóa khi tạo ra những tập tin nhật ký (log) ghi lại hoạt động của hệ thống, ngoài ra, việc truy cập Internet sẽ tải về khá nhiều tập tin tạm cũng được ghi trên đĩa cứng. Tốt nhất bạn nên ngừng ngay việc sử dụng ổ cứng này, chỉ gắn nó vào một hệ thống khác sau khi đã chuẩn bị sẵn sàng cho việc cứu dữ liệu.
- Đừng chậm trễ khi cứu dữ liệu. Hãy hành động thật nhanh khi nhận thấy sai lầm của mình, bạn sẽ có nhiều cơ hội lấy lại được dữ liệu đã xoá mất. Ngoài ra, khả năng khôi phục phụ thuộc vào loại dữ liệu. Nếu là những tập tin hình, bạn có thể lấy lại được 9 trên 10 hình. Tuy nhiên, nếu là cơ sở dữ liệu (database), bảng biểu... dù lấy lại được 90% nhưng có thể chúng vẫn vô dụng vì cấu trúc cơ sở dữ liệu thường có sự liên kết, phụ thuộc lẫn nhau.
- Một đĩa cứng "chết" nếu BIOS hay tiện ích quản lý đĩa cứng không thể nhận dạng được. Ổ cứng chết thường có những hiện tượng lạ như không nghe tiếng môtơ quay, phát ra những tiếng động lách cách khi hoạt động... Đây là những hỏng hóc vật lý của bo mạch điều khiển, đầu đọc, môtơ, đĩa từ... Hãy cố gắng tạo bản sao ảnh của đĩa cứng với Norton Ghost, Drive Image hoặc tính năng tương tự của một số phần mềm cứu dữ liệu. Khi đĩa cứng gặp sự cố, bạn có thể lấy lại dữ liệu từ bản sao ảnh của đĩa cứng.
- Nếu dữ liệu thực sự rất quan trọng, bạn nên đem ổ cứng đến những dịch vụ cứu dữ liệu có uy tín để kiểm tra, đừng thao tác trên đĩa cứng vì sẽ ảnh hưởng đến khả năng khôi phục dữ liệu hoặc làm tình hình thêm nghiêm trọng. Và dĩ nhiên, cái giá phải trả cho việc này sẽ không rẻ chút nào. Tuy nhiên, bạn đừng trông chờ nhiều vào việc cứu dữ liệu khi ổ cứng chết vì việc này ít khi thành công.
Đông Quân ---------------------------------
Tài liệu tham khảo*
http://www.runtime.org
*
http://www.seagate.com/support/service/drs/prevent.html